История изменений
Исправление nikita-b, (текущая версия) :
Если это то, что я думаю то дыра была эта:
http://forums.modx.com/thread/91266/modx-evolution-1-0-13-and-prior-ajaxsearc...
А сейчас просто на сервере где-то шелл. Либо в PHP файлах (Наиболее вероятно), либо если сервер понравился, то возможно и где-то глубже.
В нашем случае, массово взламывали сайты с этой узвимостью (Определяли версию по размеру CSS файла) и отправляли данные о сервере. Вероятно смотрели, что за сервер и если виртуальный хостинг то просто слали скрипты для спама, а если сервер,то что-то поинтереснее.
Везде был reverse TCP на всякие VDS на разных хостерах. В основном украинских (Более абузоустойчивые). На серверах только SSH и по сертификату.
Жаль не удалось посмотреть как у них там все устроено, т.к выяснить как это работает, кроме пересылки данных и файлов в обратном направлении не удалось.
Файлы кстати кодировались прямо с комментариями и комментарии были на русском %)
Исходная версия nikita-b, :
Если это то, что я думаю то дыра была эта:
http://forums.modx.com/thread/91266/modx-evolution-1-0-13-and-prior-ajaxsearc...
А сейчас просто на сервере где-то шелл. Либо в PHP файлах (Наиболее вероятно), либо если сервер понравился, то возможно и где-то глубже.
В нашем случае, массово взламывали сайты с этой узвимостью (Определяли версию по размеру CSS файла) и отправляли данные о сервере. Вероятно смотрели, что за сервер и если виртуальный хостинг то просто слали скрипты для спама, а если сервер,то что-то поинтереснее.
Везде был reverse TCP на всякие VDS на разных хостерах. В основном украинских (Более абузоустойчивые). На серверах только SSH и по сертификату.
Жаль не удалось посмотреть как у них там все устроено, т.к выяснить как это работает, кроме пересылки данных и файлов в обратном направлении не удалось.
Файлы кстати кодировались прямо с комментариями и комментарии были на русском %)
Интересно было бы посмотреть на их